Toggle sidebar

Admin ohne WebZugang

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
D

Django

Benutzer
Registriert
27. Feb. 2011
Beiträge
127
Reaktionspunkte
0
Punkte
16
Hi,

da der User Admin vom Namen her nicht umbenannt werden kann stellt sich mir die Frage, ob ich (nur ihm) die Berechtigung für die Nutzung des Webzugangs nehmen kann. Aus Sicherheitsgründen. Denn ein Unbefugter würde es ja immer spontan mit dem User "admin" oder "root" probieren.

Sollte ich "Admin" vom Webzugang aussperren können würde ich gegebenenfalls einen neuen User einrichten wollen mit kompletten Admin-Rechten dessen Name jedoch nicht so einfach rauszufinden sein wird. Es müsste dann ja reichen diesen in die Administratorengruppe zu packen oder?
 
Es wird sowieso empfohlen, den Benutzer "admin" zu DEAKTIVIEREN, denn es es ist allgemein bekannt, dass es auf den Synos atandardmäßig diesen Benutzer gibt und demzufolge werden fast alle Hackversuche mit diesem Benutzer durchgeführt.
Selbstverständlich kannst/solltest du einen anderen Admin-Benutzer anlegen!
 
Oh man.... danke!!!
Warum kompliziert wenn es auch einfach geht.
Neuen User angelegt.... ihn in die Admingruppe verfrachtet, Berechtigungen vergeben.... und den alten Admin deaktiviert. Fertig.
Hast recht, einfacher gehts nicht.
 
Falls du irgendwelche 3rd-Party-Apps am laufen hast, solltest du nach dem deaktivieren des Benutzer "admin" mal prüfen, ob diese noch funktionieren. Manch ein Paket läuft nämlich nur unter diesem Benutzer.

Tommes
 
Danke für den Hinweis.
Habe aber nichts dergleichen im Einsatz. Synology pur ;)
 
Den Sicherheitshinweis den admin zu deaktivieren halte ich für wenig zielführend. Was soll das bringen?
Generiere dir ein starkes Passwort, mehr Schutz bringt ein deaktivierter admin auch nicht.
 
Ich sehe das genauso wie Puppetmaster. Es bringt eher ein falsches Sicherheitsempfinden, kann aber erhebliche Probleme nach sich ziehen, wie Tommes sie angesprochen hat. Es gibt genug Beispiele im Forum dafür.
 
Auch kann man sich trotz deaktiviertem "admin" Konto per SSH auf der Konsole als Benutzer "root" mit dem Passwort des Benutzers "admin" anmelden. Und ich würde mal behaupten, das die meisten Angriffe über Port 22, also SSH kommen. Von daher...
 
...Von daher gehört der SSH-Port von aussen gesperrt, ebenso wie die verwendeten DSM-Ports.

Wer unbedingt administrativen Zugang vom Internet braucht, nimmt VPN oder Port-Knocking, ggf. in Kombination.
 
@ whitbread

hast du für die DS und "Port-Knocking" ein beispiel ?
 
Ich verstehe Deine Frage nicht.

Es ist doch so, dass mittels spezieller Suche in G**gle jeder Synology-Server gefunden werden kann, der mit seiner Admin-Oberfläche (DSM) im Internet hängt. Das ist solange (halbwegs) safe, wie 1) ein sicheres Passwort verwendet wird, 2) BruteForce-Attacken erkannt und geblockt werden und 3) kein Exploit im DSM existiert.

Das Gleiche gilt ebenso auch für einen VPN-Zugang; daher halte ich Port-Knocking für eine recht sichere Lösung, um unterwegs seine NAS und andere Systeme zu erreichen. Durch ein Anklopfen bei Dir zuhause auf einem geblockten Port wird für die aktuelle Ursprungs-IP für kurze Zeit Dein VPN-Port freigeschaltet und Du kannst Dich anmelden. Wenn Du allerdings über eine Sammel-IP ins Netzt gehst (grosse Firma, etc.) dann sollte die Zeit halt sehr kurz gewählt sein. Und mit einem normalen Router à la Fritzbox lässt sich das auch nicht umsetzen...
 
Die Frage war wohl : wie realisierst du Port-Knocking auf einer DS? :)
 
Cool. Dieses Portknocking kannte ich bisher auch noch nicht, nur die Absicherung via RSA_Key. Da mich das grad mal ziemlich interessiert hat, ich dieses aber wenn überhaupt mal auf meinem Raspberry Pi antesten würde, hab ich mal ein wenig rumgesucht und das hier gefunden...

http://www.foxplex.com/sites/ssh-port-knocking-unter-ubuntu-einrichten/

Anleitungen für Ubuntu lassen sich i.d.R. auch 1 zu 1 auf einem Pi übertragen. Wie und ob man das jedoch auf einer DS ans laufen bekommt, kann ich nicht sagen. Auf jeden Fall eine interessante Möglichkeit... gefällt mir. Toller Tipp. Danke.

Tommes
 
Deswegen fordere ich seit langem, dass man einstellen kann: user mit admin Rechten von öffentlichen IP-Adressen den Zugang generell verwehren.
 
Das wäre in der Tat ein kluge Maßnahme.
 
raymond schrieb:
Deswegen fordere ich seit langem, dass man einstellen kann: user mit admin Rechten von öffentlichen IP-Adressen den Zugang generell verwehren.
Zum Vergrößern anklicken....

Wobei eine generelle Verwehrung des Zuganges aber auch kontraproduktiv wäre. Dann lieber die Möglichkeit, das selber zu entscheiden.

Edit: Ich Depp! Hast du ja geschrieben ...das man einstellen kann. *flöt*
 
Zuletzt bearbeitet:
dil88 schrieb:
Das wäre in der Tat ein kluge Maßnahme.
Zum Vergrößern anklicken....


Ist ja nicht neu, wird ja min. schon solange gefordert wie ich hier mitlese. Offenbar ist Synologys Interesse an einer Umsetzung aber nicht sonderlich groß, warum auch immer.
 
Puppetmaster schrieb:
Die Frage war wohl : wie realisierst du Port-Knocking auf einer DS? :)
Zum Vergrößern anklicken....

Gar nicht, und zwar weil
- ich zu wenig Know-How von Linux und auf Konsolenebene im Speziellen habe.
- ich der Meinung bin, dass es nicht auf die NAS gehört

Ich glaube aber, dass es im Endeffekt auf iptables beruht...
 
Tommes schrieb:
http://www.foxplex.com/sites/ssh-port-knocking-unter-ubuntu-einrichten/

... Toller Tipp. Danke.

Tommes
Zum Vergrößern anklicken....

Also das ist alles nur Konsole und da verstehe ich nur Bahnhof. Ich nutze dazu einen MikroTik-Router.

Das Prinzip ist halt folgendes: Schreibe eine IP-Adresse, die auf einem dedizierten Port bzw. Protokoll versucht eine Verbindung aufzubauen in eine Adressliste, blockiere diese erste Verbindung aber. Jetzt erlaube allen IP's dieser Adressliste für 60 secs oder so Zugang auf den VPN, DSM oder anderen benötigten Ports. Durch Connection Tracking wird die Verbindung dann aufrecht erhalten.

Wenn Du normale Protokolle verwendest kannst Du das Knocking ganz einfach via Browser erledigen, ansonsten gibt es dafür gute Apps für ios auf jeden Fall.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten